MPLS VPN技術在校園網中的應用

黃宏杰

摘 要： 以MPLS VPN技術為基礎設計了一個基于IPSec和LDP FRR的，應用于校園網的MPLS VPN，并對其中的體系結構、網絡結構、路由設計、規劃設計和安全技術部分進行了詳細設計，最后利用MPLS快速重路由技術 LDP FRR建設可靠的校園網。

關鍵詞： 多協議標簽交換； 快速重路由技術； 互聯網安全協議； 虛擬專用網

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2014）08-31-02

Application of MPLS VPN technology in campus network

Huang Hongjie

（Fujian Vocational College of Agriculture Information Technology Department， Fuzhou， Fujian 350119， China）

Abstract： In this paper， based on the MPLS VPN technique， a MPLS VPN based on IPSec and LDP FRR is designed and is widely applied in campus network. The system structure， network structure， routing design， planning design and safety technology are designed carefully. By using MPLS Fast ReRoute technology of LDP FRR， a reliable campus network is constructed.

Key words： MPLS VPN； LDP FRR； IPSec； VPN

0 引言

校園數字化現階段一般采用以MPLS VPN技術為基礎，構建多業務分組承載平臺，同時對安全性要求較高的業務系統，通常全面部署IPSec VPN；對于可靠性要求較高的網絡環境，可選擇LDP FRR支持技術。本文綜合運用其各自的優點，進行路由優化技術應用研究，以達其優勢互補；運用有效的網絡管理，真正實現安全可靠的業務隔離、靈活的路由機制，實現校園網設計的可用性、靈活性、擴展性、安全性和可靠性。

1 MPLS VPN體系結構

MPLS是多協議標簽交換的簡稱，是一種第三層路由結合第二層屬性的交換技術，引入了基于標簽的機制，它把路由選擇和數據轉發分開，由標簽來規定一個分組通過網絡的路徑。MPLS網絡由核心部分的標簽交換路由器（LSR）、邊緣部分的標簽邊緣路由器（LER）組成。LSR的作用可以看作是ATM交換機與傳統路由器的結合，是由控制單元和交換單元組成；而LER主要用于分析IP包頭，決定相應的傳送級別和標簽交換路徑（LSP）[1]。

VPN虛擬專用網（Virtual Private NetWork）指的是在公共網絡上建立虛擬專用通信網絡，由若干不同的站點組成的集合。一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以有控制地實現互訪與隔離。

MPLS VPN是一種以MPLS技術為核心的IPVPN，是在網絡路由和交換設備上應用MPLS技術，簡化核心路由器的路由選擇方式，通過在網絡設備上利用傳統路由技術的標記交換實現的IP虛擬專用網[2]。MPLS VPN一般采用多級網狀拓撲結構，MPLS VPN的體系結構主要分成數據面和控制面。數據面定義了VPN數據的轉發過程；控制面則定義了LSP的建立和VPN路由信息的分發過程[3]。MPLS VPN利用MPLS實現數據在各VPN站點間的轉發， 同時結合BGP技術在運營商骨干網中發布VPN路由信息。

2 MPLS VPN網絡結構

我們將校園網規劃成骨干、核心、匯聚和接入等四層的層次化結構模式，核心層與骨干層為網狀拓撲，可提高設備的冗余度，確保網絡具有優良的可靠性。校園網主要分為辦公教學區、學生宿舍區、校園網信息中心區和分校區等四大區域。在各個區域內采用雙核心架設，相互之間通過多路光纖聯接，鏈路帶寬達十萬或萬兆；匯聚層面通過雙鏈路方式接入該區域的雙核心架設，鏈路帶寬萬兆或千兆；各個匯聚節點下的接入層面有相當數量接入交換機，鏈路帶寬為千兆或百兆，用來滿足全校師生員工的上網需求。網絡拓撲如圖1所示。

3 MPLS VPN路由設計

MPLS VPN數據流與公共網絡（如：教育網和因特網等）數據流相隔離，其中VPN數據流在校園網上采用標記交換，而公共網絡數據流則采用IP路由/轉發。在校園MPLS骨干網絡中使用標簽分發協議（Label Distribute Protocol，LDP），實現標記從校園網的一個邊緣區域交換到另一邊緣區域。當前只對VPN數據流進行標記交換，公共網絡數據流則以常規IP路由進行轉發。

路由協議的應用，在MPLS VPN的網絡中分為三個層面：骨干層MPLS、PE與CE互聯、CE以下內部網絡。對于骨干層MPLS，需要IGP協議與MP-BGP結合使用，IGP協議主要用在保證內部PE之間的連通性，MP-BGP協議主要完成指定并分發MPLS標簽，各區CE之間的VPN路由的傳遞、VPN路由標簽的分發，都是通過骨干區域MP-BGP協議的擴展屬性實現的；CE路由器和PE路由器物理連接后，它還必須能夠與ISP交換路由信息，CE路由器和PE路由器之間的連接可使用各種路由協議；對于CE以下的內部網絡的路由協議完全保持原有網絡的相關協議即可，接入層通過默認路由把流量引入匯聚層。

總之，校園網建設中采用的路由策略為：設置一個自治域；MPLS骨干網的路由采用MP-BGP協議和OSPF協議；PE與CE互聯采用BGP協議和OSPF路由協議；CE以下內部網絡采用OSPF協議[3]。

4 MPLS VPN規劃設計

校園網建設是一個復雜的系統工程，承載的是數據、語音、交換的網絡平臺和視頻等多種綜合業務系統。MPLS VPN的整體部署需要進行規劃，是業務開展的要求，同時也是業務可持續發展的保證。MPLS VPN涉及業務的劃分、IP地址的規劃，VRF標志，RD/RT等幾類網絡資源，這些資源與傳統的IP業務稍有不同，需要進行合理的分配。

校園網代表性的業務系統有：辦公自動化系統、校園一卡通、教務管理系統、數字圖書館、財務管理系統和網絡信息中心等。根據各系統業務的不同，在校園網絡中建立各自的VPN。

VPN用戶通常都有自己的地址規劃和分配原則，由于采用MPLS作為骨干傳輸支撐平臺，可以允許用戶獨立設計IP地址。在為VPN用戶提供公共網絡訪問服務時，需要為用戶分配公共網絡IP地址，最為關鍵的是在現存IPv4骨干核心上實現IPv6的無縫實施。

VRF（VPN Routing and Forwarding）是一種虛擬化技術，允許在邏輯上把共享的網絡設備路由功能公開。每一個VRF可以看成是一臺虛擬的路由器，包括獨立路由表/轉發表、一組歸屬于這個VRF的接口集合和一組只用于本VRF的路由協議。VRF常與MPLS VPN一起使用，為VPN VRF選擇名稱時，在VRF名稱后加上業務名稱的英文的格式，中間下劃線連接[4]。

由于校園網絡的骨干和核心層的路由器數量不多，且路由基本固定。因此，校園網絡規劃為一個自治域即可滿足網絡路由規模的需求。私有AS號范圍為：64512-65535，可以在私有AS號范圍隨便選擇，支持路由區分RD和路由目標RT的分配。路由區分RD對于路由器是無格式的，但是為了各個AS之間的互操作，規定了RD的格式。一般情況下采用RD格式為：ASN： XXX，其中ASN為2個字節，XXX子域為4個字節，資源非常充足。路由目標RT定義了路由可以為哪些站點接受，以及PE設備可以接受哪些站點發來的路由。默認情況下，為每個VPN分配一個惟一的RT。

5 MPLS VPN安全技術

MPLS VPN網絡的信息傳遞和處理分為控制、數據和管理三個層面[3]。在控制平面完成路由信息的交換和處理，建立并維護VPN路由表；在數據平面實現VPN用戶數據快速轉發；在管理平面完成設備的配置管理及相應管理信息的傳遞功能。

MPLS VPN網絡安全的威脅來自三個層面：①在控制面，包括MPLS骨干網路由器協議的攻擊；②在數據面，包括公共網絡和服務器等的安全威脅；③在管理面，包括攻擊網絡設備、影響或破壞信息傳遞和網絡內部信息泄漏等[5]。

針對存在安全威脅的三個層面，我們增加了相應的安全措施：①控制平面的安全，包括保證路由信息傳遞的安全性以及路由的隔離，廣泛部署路由協議鄰居MD5認證，包括CE-CE，PE-CE，PE- PE和P-Network；②數據平面安全，包括CE-PE、PE-PE和CE-CE的數據實施更加復雜的加密系統；③管理平面安全，包括網管控制系統、網管信息平臺和網管設備配置等[6]。

6 MPLS VPN可靠技術

目前為了滿足諸如像視頻會議這一類業務的靈活的實時應用，必須對這些流量提供毫秒級的LSP保護能力。MPLS快速重路由技術（LDP FRR）通過主備標簽技術完成網絡故障的50ms倒換功能，達到電信級網絡要求的50ms內的保護切換，具有MPLS能力的IP網絡成為新一代的多業務承載平臺[7]。

隨著網絡通信業的發展，MPLS快速重路由技術也會更加的完善穩定，給用戶帶來良好的網絡環境。快速重路由的優勢除了可以提高保護恢復的速度外，通過有選擇地在網絡薄弱環節配置保護能力，避免了在可靠網絡重復保護、無謂消耗核心網絡資源。

7 結束語

綜上所述，MPLS VPN技術在校園網中的成功運用，有利于把MPLS的高速交換、擴展性，以及IPSec與LDP FRR的安全可靠性、易部署的優勢發揮出來，設計出性能優良的校園網。MPLS VPN技術在校園網的應用中雖然還沒有得到全面推廣，但隨著信息化的高速發展，MPLS VPN必將為全面實施校園網建設作出應有的貢獻。

參考文獻：

[1] http：//www.baike.com/wiki/MPLS

[2] Ayan B.Generalized Multi-protocol label switching：An overview of

signaling enhancements and recovery techniques. IEEE Communications Magazine，2001.39（7）：144-151

[3] 陳琳.基于MPLS的VPN技術在數字化校園中的運用與研究[D].河

南理工大學碩士學位論文，2010.

[4] Ivan Pepelnjak，Jim Guichard著.盧澤新，朱培棟，齊寧譯.MPLS和

VPN體系結構（第2卷）[M].人民郵電出版社，2004.

[5] Jim Guichard，CCIE#2069，Francois Le Faucheur，Jean-Philippe

Vasseur著.陳武譯.MPLS網絡設計權威指南[M].人民郵電出版社，2012.

[6] Bound J，Pouffary Y，Chown T，et al. MPLS Enterprise Network

Analysis[Z].IETF draft，draft-ietf-v6ops-ent-anslysis-03，July 2005.

[7] Luc De Ghein，CCIE#1897著.陳麟帆，CCIE#15116譯.MPLS技術

構架[M].人民郵電出版社，2012.